LT
Karštoji paslaugų linija
Tyrėjų teigimu, dėl „Android” dizaino klaidos kūrėjai į mobiliąsias programėles gali įterpti erzinančių iššokančiųjų skelbimų arba sukčiavimo atakų.
LAS VEGAS – Tyrėjai aptiko, jų teigimu, „Android” konstrukcijos trūkumą, kuriuo gali pasinaudoti nusikaltėliai, norėdami pavogti duomenis apgaulės būdu, arba reklamuotojai, norėdami į telefonus perkelti erzinančius iššokančius skelbimus.
Programišiai gali sukurti programėles, kurios atrodo nekaltos, bet, pavyzdžiui, kai naudotojas naudojasi teisėta banko programėle, gali rodyti netikrą prisijungimo prie banko programėlės puslapį, – sakė „Trustwave” vyresnysis viceprezidentas ir „SpiderLabs” vadovas Nicholas Percoco, šiandien pristatydamas tyrimą įsilaužėlių konferencijoje „DefCon”.
Šiuo metu programėlės, kurios nori bendrauti su naudotoju, kai žiūrima kita programėlė, tiesiog išsiunčia įspėjimą į pranešimų juostą ekrano viršuje. Tačiau „Android” programinės įrangos kūrimo rinkinyje yra programų programavimo sąsaja, kurią galima naudoti tam tikrai programėlei išstumti į pirmą planą, sakė jis.
„Android” leidžia pakeisti standartinį grįžties mygtukų (paspaudimo) standartą”, – sakė „Trustwave” SSL (Secure Sockets Layer) kūrėjas Seanas Schulte.
„Dėl šios priežasties programa gali pavogti fokusą ir jūs negalite paspausti atgalinio mygtuko, kad išeitumėte”, – sakė Percoco, pridurdamas, kad jie pavadino šią problemą „Focus Stealing Vulnerability”.
Tyrėjai sukūrė koncepcijos įrodymo priemonę, kuri yra žaidimas, bet taip pat sukelia netikrus „Facebook”, „Amazon”, „Google Voice” ir „Google” el. pašto kliento ekranus. Percoco sakė, kad įrankis įdiegiamas kaip naudingosios apkrovos dalis į teisėtą programėlę ir registruojamas kaip paslauga, todėl telefonui persikrovus jis vėl atsiranda.
Demonstracinėje versijoje, kurioje naudotojas atidaro programą ir mato prisijungimo prie „Facebook” ekraną, vienintelis ženklas, kad įvyko kažkas keisto, yra toks greitas ekrano šuolis, kurio daugelis naudotojų nepastebėtų. Padirbtas ekranas visiškai pakeičia teisėtą ekraną, todėl naudotojas negalėtų pastebėti, kad kas nors yra ne vietoje.
Naudodamiesi šiuo dizaino trūkumu, žaidimų ar programėlių kūrėjai gali kurti tikslinius iššokančius skelbimus, sakė Percoco. Jis pridūrė, kad skelbimai gali būti tiesiog erzinantys, kaip ir dauguma iššokančiųjų langų, tačiau jie taip pat gali būti nukreipti taip, kad būtų rodomi, kai naudojama konkurento programėlė.
„Taigi dabar įmanomas visas pasaulis, kuriame ekrane viena su kita kovoja reklamos”, – sakė A. Percoco, kuris kartu su Christianu Papathanasiou pernai „DefCon” parodoje pademonstravo „Android” rootkit’ą.
Pasak A. Schulte’s, ši funkcija nesukels jokių įspėjamųjų ženklų leidimuose, rodomuose naudotojui atsisiuntus programėlę, nes tai yra teisėta programėlių funkcija tikrinti telefono būseną vadinamojoje veiklos tarnyboje.
Percoco teigė, kad tyrėjai prieš kelias savaites apie savo išvadas kalbėjosi su „Google” darbuotoju, kuris pripažino, kad problema egzistuoja, ir sakė, kad bendrovė bando išsiaiškinti, kaip ją išspręsti nepažeidžiant jokių teisėtų programų, kurios gali ją naudoti, funkcijų.
Susisiekus su „Google” atstovu ir paprašius pateikti komentarą, jis teigė, kad išnagrinės šį klausimą.
Atnaujinta 2011 m. rugpjūčio 8 d. 15:50 val. PT „Google” atstovas spaudai pateikė šį pareiškimą: „Perjungimas tarp programų yra pageidautina galimybė, naudojama daugelyje programų, siekiant skatinti turiningą sąveiką tarp programų. „Android Market” nepastebėjome nė vienos programėlės, kuri piktybiškai naudotų šį būdą, ir pašalinsime visas programėles, kurios tai daro.”
„Google” atstovas spaudai taip pat nukreipė CNET į „Visidon” programą „AppLock” kaip šios funkcijos naudojimo pavyzdį. Programėlėje naudojama veido atpažinimo technologija, kad būtų išvengta neteisėtos prieigos prie telefono dalių, pvz., „Gmail” programėlės. Teisėtai naudojant šiame pavyzdyje aprašytą pažeidžiamumo funkciją, „AppLock” slaptažodžio užklausos sąsaja būtų perkelta virš „Gmail” sąsajos, kai ją paliečiate. Kadangi „AppLock” naudoja jūsų veidą kaip slaptažodį, jis būtų uždedamas, veidas atpažįstamas kaip patvirtintas slaptažodis ir tada nuimamas.
Atnaujinta 2011 m. rugpjūčio 8 d. 19:40 val. PT Percoco atsakymas į „Google” pareiškimą: „Programų perjungimas nėra problema. Tikroji problema yra kitų programų galimybė nustatyti, kuri programa yra pirmame plane, ir tada nuspręsti peršokti prieš tą veikiančią programą be naudotojo leidimo. Taip pat nesuprantame, kaip jie galėtų nustatyti skirtumą tarp kenkėjiškos ir teisėtos programėlės, nes jos abi atrodytų beveik vienodai, kol naudotojas nepraneštų apie ją kaip kenkėjišką. Pozicija „laukti, kol apie blogą programėlę bus pranešta, ir tik tada ją pašalinti” yra pavojinga ir greičiausiai pasirodys esanti bevaisė, nes įsilaužėliai gali paskelbti programėles daug greičiau, nei „Google” galėtų jas nustatyti ir pašalinti iš „Market”.”
Prie šio pranešimo prisidėjo CNET’s Seth Rosenblatt.
Source: https://news.cnet.com/8301-27080_3-20089123-245/android-could-allow-mobile-ad-or-phishing-pop-ups/
